Chapitre 16 Exportateur de données

La fonction Exportateur de données permet de consigner des informations sur les utilisateurs, les rôles et d'autres types d'objets dans un entrepôt de données externe.

Ce chapitre contient les informations et procédures à suivre pour paramétrer et mettre à jour l'exportateur de données. Pour des informations détaillées sur la planification et l'implémentation de l'exportateur de données, voir le Chapitre 5, Data Exporter du Sun Identity Manager Deployment Guide.

Ce chapitre se compose des rubriques suivantes :

• Présentation de l'exportateur de données ;

• Planification de l'implémentation de l'exportateur de données ;

• Configuration de l’exportateur de données ;

• Test de l'exportateur de données ;

• Configuration des requêtes sur attributs ;

• Mise à jour de l'exportateur de données.

Présentation de l'exportateur de données

Identity Manager contient et traite les données pertinentes pour la gestion des identités à travers les systèmes et applications distribués. Pour améliorer la performance d'ensemble, Identity Manager ne conserve pas toutes les données qu'il génère pendant le provisioning normal et les autres activités quotidiennes. Par exemple, Identity Manager par défaut ne conserve pas les activités de flux de travaux ni les instances de tâches d'état intermédiaire. S'il est nécessaire de capturer tout ou partie des données qu'Identity Manager abandonne d'habitude, vous pouvez activer la fonctionnalité Exportateur de données.

Lorsque l'exportateur de données est activé, Identity Manager stocke tout changement apporté à un objet spécifié (type de données) détecté sous la forme d'un enregistrement dans une table du référentiel. Ces événements sont mis en file d'attente jusqu'à ce qu'une tâche les écrive dans un entrepôt de données externe (vous pouvez configurer la fréquence à laquelle chaque type de données est exporté). Les données exportées peuvent être encore traitées ou utilisées comme point de départ pour des interrogations et transformations à l'aide d'outils de transformation commerciale, de génération de rapports et d'analyse.

L'exportation des données dans un entrepôt a un impact négatif sur les performances du serveur Identity Manager et cette fonctionnalité doit être désactivée, sauf si l'entreprise a réellement besoin d'exporter les données.

Identity Manager permet également de créer et d'exécuter des requêtes sur attributs. Une requête sur attributs explore l'entrepôt de données pour identifier les objets Utilisateur ou Rôle qui satisfont les critères spécifiés. Pour plus d'informations, voir Configuration des requêtes sur attributs.

Planification de l'implémentation de l'exportateur de données

L'exportateur de données étant désactivé par défaut, vous devez le configurer pour qu'il devienne opérationnel. Plusieurs décisions préliminaires doivent être prises pour la configuration de l'exportateur de données.

• Quels seront les types de données exportés ?

• Quelles seront les techniques employées pour capturer les données pour chaque type de données ?

• Quelle sera la fréquence d'exportation des différents types de données ?

• Que contiendra le schéma exporté pour chaque type de données ?

• Une classe de fabrique WIC (Warehouse Interface Code) sera-t-elle nécessaire ?

Lorsque l'exportateur de données est activé, la configuration par défaut exporte tous les attributs de tous les types de données. Cela peut causer des charges de traitement inutiles sur Identity Manager et l'entrepôt en consommant sur ce dernier un espace de stockage qui ne sera jamais utilisé. L'entreposage des données a tendance à être conservateur et à capturer les données lorsqu'il y a une chance qu'elles soient utilisées ultérieurement. Vous n'avez pas à exporter toutes les données qui peuvent être exportées. Vous pouvez configurer les types de données à exporter et empêcher l'exportation de certains événements.

Une fois les décisions ci-dessus prises, suivez les étapes ci-après pour implémenter l'exportateur de données.

Pour implémenter l'exportateur de données

1. (facultatif) Personnalisez le schéma d'exportation pour les types sélectionnés et régénérez la LDD de l'entrepôt. Pour plus d'informations, reportez-vous à Customizing Data Exporter du Sun Identity Manager Deployment Guide.

2. Créez un compte utilisateur sur le RDBMS de l'entrepôt et chargez la LDD de l'entrepôt sur ce système. Pour plus d'informations, voir Customizing Data Exporter du Sun Identity Manager Deployment Guide.

3. Configurez l'exportateur de données, comme décrit à la section Configuration de l’exportateur de données.

4. Testez l'exportateur de données pour vérifier qu'il est configuré correctement. Pour plus d'informations, voir Test de l'exportateur de données.

5. (facultatif) Créez des requêtes sur attributs qui explorent les données écrites dans l'entrepôt de données. Pour plus d'informations, voir Configuration des requêtes sur attributs.

6. Mettez à jour l'exportateur de données en utilisant JMX et en contrôlant les fichiers journaux. Pour plus d'informations, voir Mise à jour de l'exportateur de données.

Configuration de l’exportateur de données

La page Configuration de l’exportateur de données permet de définir les types de données à conserver, de spécifier les attributs à exporter et de programmer l'exportation des données. Chaque type de données peut être configuré séparément.

Pour configurer l'exportateur de données

1. Dans l'interface administrateur, cliquez sur Configurer dans le menu principal. Cliquez ensuite sur l'onglet secondaire Entrepôt. La page Configuration de l’exportateur de données s'ouvre.

   Figure 16–1 Configuration de l’exportateur de données

   
   

2. Pour définir et écrire des connexions, cliquez sur le bouton Ajouter la connexion. La page Éditer la connexion de base de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Définition de connexions en lecture et en écriture.

3. Pour assigner la classe WIC et les connexions de base de données, cliquez sur le lien Éditer qui figure dans la section Informations de configuration de l’entrepôt. La page Configuration de l’entrepôt de l’exportateur de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Définition des informations de configuration de l’entrepôt.

4. Cliquez sur le lien d'un type de données dans la table Configuration de modèle d’entrepôt. La page Configuration du type d’exportateur de données s'ouvre.

   Complétez les onglets Exporter, Attributs et Planifier de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Configuration des modèles d'entrepôts .

   Répétez cette étape pour chaque type de données.

5. Pour configurer le flux de travaux qui sera exécuté avant et après toute exportation d'un type de données, cliquez sur le lien Éditer dans la section Automatisation de l’exportateur. La page Configuration de l’automatisation de l’exportateur de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d’informations, voir la section appropriée.

6. Pour configurer le démon de la tâche d'exportation, cliquez sur le lien Éditer qui figure dans la section Configuration de tâche d’entrepôt. La page Configuration de l’entrepôt de l’exportateur de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Configuration de la tâche d’entrepôt.

   ---

   Remarque –

   Une fois ces étapes effectuées, l'exportation est entièrement opérationnelle. Lorsque l'exportation est activée, les enregistrements de données commencent à se mettre en file d'attente pour l'exportation. Si vous n'activez pas la tâche d'exportation, les tables des files se remplissent et la mise en file d'attente est suspendue. Il est en général plus efficace d'exporter des petits lots (plus fréquents) que des gros, mais l'exportation dépend de la disponibilité d'écriture de l'entrepôt lui-même, qui peut être limitée pour d'autres raisons.

   ---

7. En option, définissez la taille de file d'attente maximale. Pour plus d'informations, voir Modification de l'objet Configuration.

Définition de connexions en lecture et en écriture

Identity Manager utilise une connexion en écriture pendant les cycles d'exportation. Il utilise la connexion en lecture pour indiquer le nombre d'enregistrements figurant actuellement dans l'entrepôt (pendant la configuration de l'entrepôt) et pour servir l'interface des requêtes sur attributs.

Les connexions à l'entrepôt peuvent être définies comme une DataSource de serveur d'application, une connexion JDBC ou une référence à une ressource de données. Si une connexion JDBC ou une ressource de base de données est définie, l'exportation des données utilise de manière extensive un petit nombre de connexions pendant les opérations d'écriture puis ferme toutes les connexions. L'exportateur de données utilise uniquement la connexion en lecture pendant la configuration de l'entrepôt et l'exécution des requêtes sur attributs, et ferme ces connexions dès la fin de l'opération.

L'exportateur utilise le même schéma pour les connexions en écriture et en lecture, et vous pouvez utiliser les mêmes informations de connexion pour ces deux connexions. Cependant, si vous avez des connexions séparées, le déploiement peut écrire dans un ensemble de tables d'activation de l'entrepôt, faire de ces tables l'entrepôt réel puis transformer les tables de l'entrepôt en un mini-entrepôt de données dans lequel Identity Manager lira.

Vous pouvez éditer le formulaire Data Export Configuration (Configuration de l'exportation des données) pour empêcher Identity Manager de lire dans l'entrepôt. Ce formulaire contient la propriété includeWarehouseCount, suivant laquelle Identity Manager interroge l'entrepôt et affiche le nombre d'enregistrements de chaque type de données. Pour désactiver cette fonctionnalité, copiez le formulaire Data Export Configuration, remplacez la valeur de la propriété includeWarehouseCount par true et importez votre formulaire personnalisé.

Pour définir des connexions en lecture et en écriture

1. Dans la page Configuration de l’exportateur de données, cliquez sur le bouton Ajouter la connexion.

   Figure 16–2 Configuration de l’exportateur de données

   
   

2. Indiquez la façon dont Identity Manager établira les connexions en lecture ou en écriture avec l'entrepôt de données en sélectionnant une option dans le menu déroulant Type de connexion.

   • JDBC. Cette option connecte à une base de données en utilisant l'interface de programmation d'applications JDBC (Java Database Connectivity). Le groupement des connexions est assuré par le Warehouse Interface Code.

   • Ressource. Cette option utilise les informations définies dans une ressource. Le groupement des connexions est assuré par le Warehouse Interface Code.

   • Source de données. Cette option utilise le serveur d'application sous-jacent pour la gestion des connexions et le groupement. Ce type de connexion requiert des connexions depuis le serveur d'application.

     Les champs qui s'affichent sur la page varient selon l'option que vous avez sélectionnée dans le menu déroulant Type de connexion. Pour des informations détaillées sur la configuration de la connexion avec la base de données, consultez l'aide en ligne.

3. Cliquez sur Enregistrer pour enregistrer vos changements de configuration et revenir à la page Configuration de l’exportateur de données.

   Répétez cette procédure si vous utiliserez des connexions en lecture et en écriture séparées.

Définition des informations de configuration de l’entrepôt

Pour configurer l'entrepôt, vous devez sélectionner une connexion en lecture, une connexion en écriture et indiquer une classe de fabrique WIC (Warehouse Interface Code). La classe de fabrique WIC assure l'interface entre Identity Manager et l'entrepôt. Identity Manager fournit une implémentation par défaut du code mais vous pouvez compiler la vôtre. Pour plus d'informations sur la création de classes de fabrique personnalisées, voir le Chapitre 5, Data Exporter du Sun Identity Manager Deployment Guide.

Le fichier jar contenant la classe de fabrique et tous les fichiers jar de support doivent être présents dans le répertoire $WSHOME/exporter sur le serveur Identity Manager qui exécute la tâche d'exportation et sur tout serveur configurant l'exportateur de données. Un seul serveur Identity Manager peut exporter des données à tout instant t.

Pour définir les informations de configuration de l’entrepôt

1. Dans la page Configuration de l’exportateur de données, cliquez sur le lien Éditer qui figure dans la section Informations de configuration de l’entrepôt.

   Figure 16–3 Configuration de l’exportateur de données

   
   

2. Spécifiez une valeur dans le champ Nom de la classe de fabrique du code de l’interface d’entrepôt. Si votre intégrateur n'a pas créé de classe personnalisée, entrez la valeur com.sun.idm.warehouse.base.Factory.

3. Spécifiez les connexions en sélectionnant une option dans les deux menus déroulants Lire la connexion et Écrire la connexion.

4. Cliquez sur Enregistrer pour enregistrer vos changements de configuration et revenir à la page Configuration de l’exportateur de données.

Configuration des modèles d'entrepôts

Tout type de données exportable possède une série d'options permettant de contrôler si, comment et quand exporter ce type de données. Étant donné qu'exporter les données augmente la charge pesant sur les serveurs Identity Manager, l'exportation ne doit être activée que pour les types de données présentant un intérêt réel pour l'entreprise.

Le tableau suivant décrit les différentes types de données qui peuvent être exportés.

Pour configurer des modèles d'entrepôts

1. Dans la page Configuration de l’exportateur de données, cliquez sur un lien de type de données.

2. Dans l'onglet Exporter, indiquez si exporter ce type de données. Si vous ne voulez pas l'exporter, désélectionnez la case à cocher Exporter et cliquez sur Enregistrer. Sinon, sélectionnez les options restantes de l'onglet Exporter.

   • Autoriser la requête. Contrôle si le modèle peut être interrogé.

   • File d’attente, tout. Capture tous les changements apportés aux objets de ce type. Cocher cette option peut ajouter des coûts de traitement considérables à l'Exportateur. Utilisez cette option avec parcimonie.

   • Capture des suppressions. Enregistre tous les objets supprimés de ce type. Cocher cette option peut ajouter des coûts de traitement considérables à l'Exportateur. Utilisez cette option avec parcimonie.

3. L'onglet Attributs permet de sélectionner les attributs qui peuvent être spécifiés dans le cadre d'une requête sur attributs et ceux qui peuvent être affichés dans les résultats des requêtes. Vous ne pouvez pas supprimer les attributs par défaut depuis l'interface administrateur. Pour plus d'informations sur la modification des attributs par défaut, voir le Chapitre 1, Working with Attributes du Sun Identity Manager Deployment Guide.

   Les noms des nouveaux attributs ont les caractéristiques suivantes :

   • attrName : l'attribut est de premier niveau et scalaire.

   • attrName[] : l'attribut est un attribut de premier niveau avec valeur de liste, où les éléments de la liste ont une valeur scalaire.

   • attrName[’ clé’] : l'attribut contient une valeur de mappe et la valeur de la mappe avec la clé spécifiée est désirée.

   • attrName[]. nom2 : l'attribut est un attribut de premier niveau avec valeur de liste, où les éléments de la liste sont des structures. nom2 est l'attribut auquel accéder dans la structure.

   ---

   Remarque –

   Si vous voulez exporter des attributs vers le tableau EXT_RESOURCEACCOUNT_ACCTATTR, vous devez contrôler la case Audit de chaque attribut à exporter.

   ---

4. Spécifiez la fréquence à laquelle exporter les informations associées avec le type de données sur l'onglet Planifier. Les cycles sont relatifs à la minuit sur le serveur. Un cycle devrait avoir lieu toutes les 20 minutes en commençant à l'heure pile, puis 20 et 40 minutes plus tard. Si une tentative d'exportation prend plus longtemps qu'un cycle programmé, le cycle suivant sera ignoré. Par exemple si un cycle est défini toutes les 20 minutes et commence à minuit et qu'il faut 25 minutes pour terminer l'exportation, la prochaine exportation commencera à 00h40. L'exportation programmée à l'origine pour 00h20 n'aura pas lieu.

Configuration de l'automatisation de l'exportateur

Identity Manager permet de spécifier des flux de travaux qui s'exécutent avant et après l'exportation des données.

Le flux de travaux Cycle Start (Début de cycle) peut, par exemple, être utilisé pour empêcher une exportation si un événement justifiant une annulation se produit. Par exemple, si une application qui lit ou écrit dans les tables d'activation a besoin d'un accès exclusif à ces tables au moment où une exportation est programmée, l'exportation doit être annulée. Le flux de travaux doit retourner la valeur 1 pour annuler l'exportation. Identity Manager crée un enregistrement d'audit qui indique que l'exportation a été ignorée et fournit les résultats d'erreur. Si le flux de travaux retourne 0 et qu'aucune erreur ne se produit, le type de données sera exporté.

Le flux de travaux Cycle Complete (Cycle complet) s'exécute une fois que tous les enregistrements ont été exportés. Ce flux de travaux déclenche en général une autre application pour le traitement des données exportées. Une fois ce flux de travaux terminé, l'exportateur contrôle s'il n'y a pas un autre type de données à exporter.

Des exemples de flux de travaux figurent dans le fichier $WSHOME/sample/web/exporter.xml. Le subtype d'un flux de travaux de l'exportateur est DATA_EXPORT_AUTOMATION et son authType WarehouseConfig.

Pour configurer l'automatisation de l'exportateur

1. Dans la page Configuration de l’exportateur de données, cliquez sur le lien Éditer qui figure dans la section Automatisation de l’exportateur.

2. En option, sélectionnez un flux de travaux à exécuter avant une exportation à partir du menu déroulant Flux de travaux de début de cycle.

3. En option, sélectionnez un flux de travaux à exécuter après une exportation à partir du menu déroulant Flux de travaux de début de cycle.

Configuration de la tâche d’entrepôt

Il n'est pas obligatoire d'exécuter la tâche d'exportation sur un serveur dédié, mais vous devez l'envisager si vous pensez exporter une quantité de données importante. La tâche d'exportation est efficace pour transférer les données d'Identity Manager dans l'entrepôt et consommera autant de CPU que possible pendant l'opération. Si vous n'utilisez pas de serveur dédié, vous devez empêcher ce serveur de gérer le trafic interactif car le temps de réponse augmente considérablement pendant une exportation de grande ampleur.

Pour configurer les informations de configuration de l'entrepôt

1. Dans la page Configuration de l’exportateur de données, cliquez sur le lien Éditer qui figure dans la section Configuration de tâche d’entrepôt.

   Figure 16–4 Configuration du programme de l'entrepôt de données

   
   

2. Sélectionnez une option dans le menu déroulant Mode de démarrage pour déterminer si la tâche d'entrepôt commence immédiatement au démarrage d'Identity Manager. Sélectionner Désactivé signifie que la tâche doit être lancée manuellement.

3. Cochez la case à cocher Exécuter comme moi pour que la tâche d'entrepôt s'exécute sous votre compte administratif.

4. Sélectionnez les serveurs sur lesquels la tâche peut s'exécuter. Vous pouvez spécifier plusieurs serveurs, mais seule une tâche d'entrepôt peut s'exécuter à un instant t donné. Si le serveur exécutant la tâche est arrêté, l'ordonnanceur redémarre automatiquement la tâche sur un autre serveur de la liste (si disponible).

5. Indiquez le nombre d'enregistrements lus de la file d'attente dans un tampon de mémoire avant d'écrire dans le champ Taille des blocs de lecture dans la file d’attente. La valeur par défaut de ce champ convient pour la plupart des exportations. Augmentez cette valeur si le serveur du référentiel d'Identity Manager est lent par rapport au serveur de l'entrepôt.

6. Indiquez le nombre d'enregistrements écrits dans l'entrepôt au cours d'une unique transaction dans le champ Taille des blocs d’écriture dans la file d’attente.

7. Indiquez le nombre de threads Identity Manager à utiliser pour lire les enregistrements mis en file d'attente dans le champ Nombre de threads utilisés pour la file d’attente. Augmentez ce nombre si la table de file d'attente contient un grand nombre d'enregistrements de types différents. Diminuez ce nombre si la table de file d'attente ne contient que quelques types de données.

8. Cliquez sur Enregistrer pour enregistrer vos changements de configuration et revenir à la page Configuration de l’exportateur de données.

Modification de l'objet Configuration

Lorsque l'exportateur de données est configuré et opérationnel, tous les types de données qui sont configurés pour être mis en file d'attente sont capturés dans la table de file d'attente interne. Par défaut, cette table n'a pas de limite supérieure mais il est possible d'en configurer une en éditant l'objet Configuration Data Warehouse Configuration (Configuration de l'entrepôt de données). Cet objet a un objet imbriqué nommé warehouseConfig. Ajoutez la ligne suivante à l'objet warehouseConfig :

<Attribute name=’maxQueueSize’ value=’YourValue’/>

La valeur de maxQueueSize peut être tout entier positif inférieur à 2³¹. L'exportateur de données désactive la mise en file d'attente quand cette limite est atteinte. Les données générées ne peuvent alors plus être exportées tant que la file n'est pas vidée.

Dans le cadre d'un fonctionnement normal, Identity Manager peut générer plusieurs milliers d'enregistrements modifiés à l'heure et la table de mise en file d'attente peut croître très rapidement. Étant donné que la table de file d'attente se trouve dans le référentiel d'Identity Manager, cette croissance consommera du tablespace dans le RDBMS, voire risque d'épuiser le tablespace. Définir un plafond pour la file d'attente peut être nécessaire si vous disposez d'un tablespace limité.

Utilisez le Mbean Data Queue JMX pour contrôler la taille de la table de file d'attente. Pour plus d'informations, voir Contrôle de l'exportateur de données.

Test de l'exportateur de données

Une fois l'exportateur de données dûment configuré, celui-ci se comporte comme un processus d'arrière-plan, en envoyant des données à l'entrepôt aux intervalles configurés. Pour exécuter l'exportateur de données à la demande, utilisez la tâche Lanceur d’exportateur d’entrepôt de données.

Pour démarrer le lanceur d’exportateur d’entrepôt de données

1. Désactivez la tâche d’entrepôt. Pour plus d'informations, voir Configuration de la tâche d’entrepôt.

2. Cliquez sur Tâches du serveur dans le menu principal. Cliquez ensuite sur l'onglet secondaire Exécuter des tâches. La page Tâches disponibles s'ouvre.

3. Cliquez sur le lien Lanceur d’exportateur d’entrepôt de données. La page Lancer une tâche s'ouvre.

4. Sélectionnez la case à cocher Options de débogage pour afficher des options supplémentaires.

5. Sélectionnez la case à cocher Ignorer les attributs LastMod d’origine pour que l'exportateur de données ignore l'horodatage « last polled » qu'il utilise pour déterminer les enregistrements du référentiel Identity Manager qui ont déjà été exportés. Lorsque cette option est sélectionnée, tous les enregistrements du référentiel Identity Manager des types sélectionnés sont exportés.

6. Choisissez les types de données à exporter dans la liste Exporter une fois. Si vous ne choisissez pas de type dans la liste Exporter une fois, la tâche d'exportation s'exécute comme un démon et procède à l'exportation sur la base de la programmation définie au préalable. Si vous sélectionnez un ou plusieurs types de données, Identity Manager les exporte immédiatement puis la tâche d'exportation se termine.

7. Définissez les valeurs des autres champs de la page comme requis.

8. Cliquez sur Lancer pour commencer la tâche.

Configuration des requêtes sur attributs

Les requêtes sur attributs permettent à Identity Manager de lire les données qui ont été stockées dans l'entrepôt de données. Elles peuvent identifier des utilisateurs ou des rôles sur la base des valeurs actuelles ou historiques des types de données utilisateur, rôle ou connexes. Une requête sur attributs s'apparente à un rapport Rechercher des utilisateurs ou Rechercher un rôle, à la différence que les critères de correspondance peuvent être évalués sur les données d'historique et que la requête sur attributs permet de rechercher des attributs qui sont de types de données autres que l'utilisateur ou le rôle interrogé.

L'objectif d'une requête sur attribut est d'entreprendre une action sur les résultats en utilisant Identity Manager. La requête sur attributs n'est pas un outil de génération de rapports universel.

Une requête sur attributs peut poser des questions similaires aux suivantes :

• Qui a accédé au système X entre les heures A et B et qui a approuvé l'accès en question ?

• Combien de demandes de provisioning ont-elles été traitées dans les dernières 48 heures et quelle a été la durée des différentes requêtes ?

Les résultats d'une requête sur attributs ne peuvent pas être enregistrés. Pour préparer un rapport général sur les données de l'entrepôt, vous devez utiliser des outils de création de rapports en vente dans le commerce.

Création d'une requête

Une requête sur attributs peut rechercher des objets Utilisateur ou Rôle. La requête peut être extrêmement complexe, en permettant à son auteur de sélectionner une ou plusieurs conditions d'attribut sur des types de données connexes. Les requêtes sur attributs d'utilisateur peuvent rechercher des attributs avec les types de données User (Utilisateur), Account (Compte), ResourceAccount (Compte de ressource), Role (Rôle), Entitlement (Habilitation) et WorkItem (Élément de travail). Les requêtes sur attributs de rôle peuvent rechercher des attributs avec les types de données Role (Rôle), User (Utilisateur) et WorkItem (Élément de travail).

Au sein d'un même type de données, toutes les conditions d'attribut sont logiquement liées par l'opérateur ET, ce qui signifie que toutes les conditions doivent être remplies pour permettre une correspondance. Par défaut, toutes les correspondances sont liées par l'opérateur ET tous types de données confondus, mais si vous sélectionnez la case à cocher Utiliser OR, les correspondances de types de données divers sont reliées par un OU logique.

L'entrepôt peut contenir plusieurs enregistrements pour un même objet Utilisateur ou Rôle, de sorte qu'une unique requête peut retourner plusieurs correspondances pour le même utilisateur ou rôle. Pour faciliter la différenciation des correspondances, chaque type de données peut être limité à une période de façon à ne prendre en compte que les enregistrements entrant dans la période spécifiée. Chaque type de données connexe peut être limité à une période en permettant, ce qui permet d'émettre une requête de la forme suivante :

find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

Plage de dates de minuit à minuit. Par exemple, du 3 mai 2007 au 5 mai 2007, soit 48 heures. Les enregistrements du 5 mai 2007 ne seront pas inclus.

Les opérandes (valeurs à comparer à) pour chaque condition d'attribut doivent être indiqués dans la définition de la requête. Le schéma limite certains attributs à un ensemble limité de valeurs potentielles tandis que d'autres n'ont pas de restrictions. Par exemple, la plupart des champs de date doivent être entrés au format AAAA-MM-JJ HH:mm:ss.

Compte tenu de la quantité des données contenues dans l'entrepôt et de la complexité de la requête, il faut parfois attendre longtemps pour obtenir les résultats. Si vous naviguez en vous éloignant de la page de la requête alors qu'une requête sur attributs est en cours, vous ne pourrez pas voir les résultats de la requête.

Pour créer une requête sur attributs

1. Dans l'interface administrateur, cliquez sur Conformité dans le menu principal.

   La page Stratégies d’audit (onglet Gérer les stratégies) s'ouvre.

2. Cliquez sur l'onglet secondaire Requête sur attributs.

   La page Rechercher dans l’entrepôt de données s'ouvre.

   Figure 16–5 Rechercher dans l’entrepôt de données

   
   

3. Sélectionnez si explorer des enregistrements d'utilisateur ou de rôle dans le menu déroulant Type.

4. Sélectionnez la case à cocher Utiliser OR pour qu'Identity Manager lie par un OU logique les résultats de chaque type de données interrogé. Par défaut, le système effectue un ET logique sur les résultats.

5. Sélectionnez un onglet qui représente un type de données qui figurera dans la requête sur attributs.

   1. Cliquez sur Ajouter une condition. Un ensemble de menus déroulants s'affiche.

   2. Sélectionnez un opérande (condition à contrôler) dans le menu déroulant de gauche et le type de comparaison à effectuer dans celui de droite. Entrez ensuite une chaîne ou un entier à rechercher. La liste des opérandes possibles est définie dans le schéma externe. Pour la description des différents opérandes, reportez-vous à l'aide en ligne.

   3. En option, sélectionnez une plage de dates pour restreindre la portée de la requête.

      Ajoutez les conditions supplémentaires requises au type de données actuellement sélectionné. Répétez cette étape pour tous les types de données qui feront partie de la définition de la requête sur attributs.

6. Parmi les attributs disponibles, sélectionnez ceux que vous souhaitez afficher dans les résultats de la requête sur attributs.

7. Indiquez ensuite une valeur dans le champ Limiter les résultats aux premiers. Lorsque des conditions de plusieurs types de données sont utilisées, la limite est appliquée à la sous-requête pour chaque type et le résultat final est l'intersection de toutes les sous-requêtes. Ainsi, le résultat final peut exclure certains enregistrements à cause de la limite posée sur les sous-requêtes.

8. Cliquez sur Recherche pour exécuter la requête sur attributs immédiatement ou sur Enregistrer la requête pour la réutiliser. Pour toute information sur la réutilisation des requêtes sur attributs, voir Enregistrement d'une requête sur attributs.

Enregistrement d'une requête sur attributs

Après la configuration d'une requête (et son exécution éventuelle pour s'assurer qu'elle produit les résultats escomptés), vous pouvez l'enregistrer afin de pouvoir l'exécuter plus tard.

Pour enregistrer une requête sur attributs

1. Dans la page Rechercher dans l’entrepôt de données, cliquez sur Enregistrer la requête. La page Enregistrer la requête sur attributs s'ouvre.

2. Indiquez un nom et une description pour la requête.

3. Sélectionnez la case à cocher Enregistrer les valeurs de condition pour enregistrer les valeurs des conditions (chaînes et entiers) que vous avez entrées sur la page Rechercher dans l’entrepôt de donnée. Si vous ne sélectionnez pas cette case à cocher, la requête sur attributs enregistrée fera office de modèle et vous devrez entrer les valeurs à chaque fois que vous l'exécuterez.

4. Quiconque peut exécuter une requête enregistrée, mais, par défaut, seul l'auteur d'une requête peut la modifier. Pour permettre à d'autres utilisateurs de modifier votre requête, vous devez cocher la case Autoriser un tiers à modifier cette requête.

5. Vu que la requête retourne des objets Utilisateur ou Rôle, vous pouvez choisir les attributs des objets à afficher dans les résultats. Si vous souhaitez afficher des attributs qui ne sont pas inclus dans la liste Attributs à afficher, vous pouvez aller à la page Configuration de l’exportateur de données et ajouter de nouveaux attributs affichables au type Utilisateur ou Rôle.

Chargement d'une requête

Vous pouvez charger toute requête enregistrée par tout utilisateur, mais ne pouvez modifier que les requêtes que vous avez créées ou que vos collègues ont marquées comme étant modifiables par un tiers.

Pour charger une requête sur attributs

1. Dans la page Rechercher dans l’entrepôt de données, cliquez sur Charger la requête. La page Charger la requête sur attributs s'ouvre. La colonne Résumé de la requête indique Requête incomplète si la requête a été enregistrée sous la forme d'un modèle.

2. Sélectionnez la case à cocher à gauche de la requête et cliquez sur Charger la requête.

Mise à jour de l'exportateur de données

Cette section explique comment suivre le statut de l'exportateur de données. Les informations sont organisées dans les rubriques suivantes :

• Contrôle de l'exportateur de données ;

• Contrôle de la journalisation.

Contrôle de l'exportateur de données

Une fois l'exportateur configuré et opérationnel, vous pouvez décider de le contrôler pour en assurer le fonctionnement continu. L'exportateur a plusieurs beans JMX qui sont utiles pour en déterminer le comportement. Les beans JMX incluent des statistiques sur les débits de lecture/écriture moyens de l'exportateur, la taille actuelle/maximale de la file d'attente de la mémoire interne et la taille de la file d'attente persistante. L'exportateur produit également des enregistrements d'audit pendant l'exportation, plus précisément un enregistrement pour chaque cycle de chaque type de données. Ces enregistrements d'audit incluent le nombre d'enregistrements du type concerné qui ont été exportés et la durée de l'exportation.

L'exportateur de données fournit les beans de gestion JMX suivants qui contrôlent l'exportateur.

L'exportateur de données peut être configuré pour mettre en file d'attente les enregistrements d'exportation dans une table de mise en file d'attente dans le cadre du fonctionnement normal d'Identity Manager. Étant donné que la file d'attente doit potentiellement pouvoir croître jusqu'à un grand nombre d'enregistrements et survivre à un redémarrage du serveur, la file d'attente est sauvegardée dans une table dans le référentiel d'Identity Manager. Or, les écritures dans le référentiel ralentissant en général le fonctionnement normal d'Identity Manager, la file d'attente utilise un petit cache de mémoire pour mettre en tampon les enregistrements jusqu'à ce qu'ils puissent être conservés dans le référentiel.

Les attributs du MBean DataQueue peuvent être représentés graphiquement pour indiquer le plus grand nombre d'enregistrements mis en file d'attente en mémoire (sur un unique serveur Identity Manager). Sur un système équilibré, le nombre d'enregistrements en mémoire cache doit être réduit et tendre rapidement vers zéro. Si vous remarquez que ce chiffre augmente (de l'ordre de plusieurs milliers) ou ne revient pas à zéro au bout de quelques secondes, vous devez enquêter sur la performance d'écriture du référentiel.

Le Mbean ExportTask contient deux nombres d'erreurs, un pour la lecture, l'autre pour l'écriture. Ces nombres devraient être nuls mais il est possible que pour plusieurs raisons des erreurs se produisent, spécialement pendant l'écriture. L'erreur d'écriture la plus courante est celle due au fait que les données exportées ne tiennent pas dans les colonnes de la table de l'entrepôt, ce qui correspondant à un dépassement. Certaines données de chaîne exportées sont sans limite tandis que les colonnes de la table doivent avoir une limite supérieure.

Contrôle de la journalisation

Identity Manager a deux ensembles d'objets qui croissent sans limite : le journal d'audit et le journal système. L'exportateur de données résout certains des problèmes de maintenance associés aux tables de ces journaux.

Journaux d'audit

Identity Manager écrit des enregistrements d'audit inaltérables dans le journal d'audit qui font office de piste d'audit historique des opérations effectuées. Identity Manager utilise ces enregistrements dans certains rapports et les données des enregistrements peuvent être affichées dans l'interface administrateur. Cependant, étant donné que le journal d'audit croît sans limite et qu'il le fait à une vitesse raisonnable, le déployeur doit déterminer quand tronquer ce journal. Avant l'exportateur de données, si vous vouliez préserver les enregistrements antérieurs à la troncature, vous étiez obligé de vider les tables depuis le référentiel. Si l'exportateur de données est activé et configuré pour exporter les enregistrements de journal, les anciens enregistrements sont conservés dans l'entrepôt et Identity Manager peut tronquer les tables d'audit comme requis.

Journaux système

Les journaux systèmes ont la même propriété d'inaltération que les journaux d'audit, mais ne sont en général pas générés aussi fréquemment. L'exportateur de données n'exporte pas les journaux système. Pour tronquer le journal système et préserver les anciens enregistrements, vous devez vider les tables dans le référentiel.